Ga naar inhoud

Maak een plan voor het omgaan met risico’s

org-03OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance

Maatregel

Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes.

Toelichting

  • Bepaal tijdig, bijvoorbeeld in de probleemanalyse- of ontwikkelfase, om wat voor toepassing het gaat (algoritme of AI-systeem) en bepaal welke risicoclassificatie hierbij hoort.
  • Bepaal op basis van de toepassing en de risicoclassificatie, welke aspecten van risicobeheer moeten worden toegepast.
  • Inventariseer tijdig, bijvoorbeeld in de probleemanalayse- of ontwikkelfase, bij betrokken experts welke beleidskaders en hulpmiddelen binnen de organisatie moeten worden ingezet om risicobeheer toe te passen.
  • Bepaal op basis van de levenscyclus van een algoritme of AI-systeem wanneer welke aspecten van risicobeheer moeten worden toegepast.
  • Maak inzichtelijk op welke niveaus risicobeheer kan en moet worden belegd bij het ontwikkelen en gebruiken van algoritmes.
  • Daarbij gaat het om het identificeren, analyseren, evalueren (afhankelijk van de risicobereidheid), behandelen (risicoreactie, o.a. maatregelen), monitoren & beoordelen en communiceren & rapporteren van risico's.
  • Gedurende de levenscyclus van een algoritme of AI-systemen kunnen nieuwe risico's ontstaan waar mogelijk nieuwe maatregelen voor moeten worden getroffen. Het is van belang dat iteratief wordt gewerkt aan mitigerende maatregelen en dat risicobeheer periodiek wordt toegepast.

Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.

Risico

Risico's worden niet (tijdig) vastgesteld en adequaat geadresseerd en behandeld.

Bijbehorende vereiste(n)

Bekijk alle vereisten
Vereiste
aia-03 - Hoog-risico-AI-systemen zijn voorzien van een risicobeheersysteem
awb-01 - Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig.

Bronnen

Voorbeeld

Ministerie van Economische Zaken: Gids AI-verordening

Dit voorbeeld kan ter inspiratie dienen voor hoe de maatregel toegepast kan worden. Het ministerie van Economische Zaken (EZ) heeft een gids opgesteld voor de AI-verordening. Hierin worden vier stappen toegelicht: Risico, AI, Rol en Verplichtingen. Om een plan op te stellen moet er ook aan de verplichtingen voldaan worden, deze verplichtingen staan samengevat in deze gids vanaf pagina 11. Hier wordt dit voor zowel een aanbieder als gebruiksverantwoordelijke toegelicht.

Bron: Gids AI-verordening

Wil je meer hulp bij het vinden van de regels die specifiek voor jou gelden, gebruik dan ook de Beslishulp AI-Verordening.

Nationaal Cyber Security Centrum: Richtlijnen veilig software ontwikkelen

Dit voorbeeld kan ter inspiratie dienen voor hoe de maatregel toegepast kan worden. Het Nationaal Cyber Security Centrum van het ministerie van Justitie en Veiligheid heeft een publicatie over het ontwikkelen van veilige software. Hierin staat beschreven hoe op beleidsmatig niveau beveiligingsrichtlijnen toegepast kunnen worden. Er wordt in Hoofdstuk B.03 'Risicomanagement' een duidelijk beeld geschetst van wat noodzakelijke maatregelen hiervoor zijn. Hier worden ook verschillende methodes voorgesteld voor de risico analyse. Maar omdat deze publicatie uit 2021 komt is bijvoorbeeld de NEN-ISO/IEC 27005:2011 niet maar van toepassing maar is deze vervangen door de versie uit 2024 (NEN-ISO/IEC 27005:2024).

Bron: Beleids- en beheersingsrichtlijnen voor de ontwikkeling van veilige software

Heb je een ander voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl